Open棟梁Project - マイクロソフト系技術情報 Wiki
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>Active Directory]]
-[[Active Directory(参考情報)]]のリンク先からの引用多数あり。

...工事中...

* 目次 [#qf60a284]
#contents

*DNS [#o55861ac]
-必須のインフラストラクチャ
-Active Directory統合ゾーン
*概要 [#x9a4fc00]
社内ITガバナンスを強化する

*ドメイン サービス (AD DS) [#e0336920]
*詳細 [#rce8b730]

**ディレクトリ・サービス [#d26cd156]
***登録できるオブジェクト [#cb19b021]
**標準技術 [#s5fba89d]
-Active Directoryの採用するインターネットの標準技術

-種類
--組織単位(OU)
--コンピュータ
--グループ
--ユーザ
--連絡先
--プリンタ
--共有フォルダ
-Active Directoryでは、
--インターネットの標準技術を採用しており、
--インターネットとの相互運用性を強化している。
--具体的には、以下の標準技術を採用している。

***アカウントの種類 [#hc77252f]
-ユーザ・アカウント
-グループ・アカウント
-コンピュータ・アカウント
|項番|機能|技術名|h
|1|名前解決|DNS|
|2|データベース|ディレクトリ サービス(X.500規格)|
|3|情報検索|LDAP|
|4|認証|Kerberos|

***グループ・アカウントの種類 [#oe462d49]
**[[ディレクトリ サービス]] [#cf847f00]

-セキュリティ・グループ
--ユニバーサル・グループ
--グローバル・グループ(人事用グループ)
--ドメインローカル・グループ(リソース用グループ)
**[[DNS>DNSサーバ]] [#o55861ac]
必須のインフラストラクチャ
-AD DS を使用すると、Active Directory 名前空間を既存の DNS 名前空間に統合できる。
-組織に既存のDNSがある場合、AD DS の DNS 所有者は、組織の DNS 所有者と共同で AD DS を既存のインフラストラクチャに統合する必要がある。

-配布グループ
***ゾーン情報の管理モード [#a9a2bce2]

--グループのタイプとして、セキュリティ・グループのほかに「配布グループ」というものが使えるようになった。
-組織に既存のDNSがある場合、
--「標準プライマリ・ゾーン」
--「標準セカンダリ・ゾーン」

--セキュリティ・グループでは、Microsoft Exchange 5.5 Serverで使用する「配布リスト」の機能も持っている。
-AD DSに統合する場合、
--「Active Directory統合ゾーン」

--配布リストでは、Exchangeのセキュリティ機能を持っているが、実際の運用においてはセキュリティ機能を持たせない配布リストを作りたいことがある。
の3種類がある。

--例えば、社外ユーザに一度に多量のDMを送信する場合など、社内ではログオンする必然性がないユーザをグループ化したいときに使えるのが「配布グループ」だ。
-ゾーン転送
標準プライマリ・ゾーンと標準セカンダリ・ゾーンを併用する
「シングル・マスター・レプリケーション」。

***グローバル・カタログ [#z3c748af]
-グローバル カタログとは~
http://technet.microsoft.com/ja-jp/library/cc776756.aspx
--グローバル カタログの役割~
http://technet.microsoft.com/ja-jp/library/cc736934.aspx
--グローバル カタログのレプリケーション~
http://technet.microsoft.com/ja-jp/library/cc759007.aspx
-Active Directory統合ゾーン
[[こちら>Active Directory(レプリケーション)]]の
Active Directoryの仕組みでレプリケーションされる。

-フォレスト内の全ドメインの全オブジェクトから、~
検索で、頻繁に利用される頻度が高い属性~
(デフォルトではユーザ名やログオン名など)~
のみを抽出し、ドメイン間でレプリケーション、保存されている。
***参考 [#n4ae00e4]
-Windows用語集 - Active Directory統合ゾーン:ITpro~
http://itpro.nikkeibp.co.jp/article/Keyword/20070209/261579/

--異なるドメインがある場合のみレプリケーションが発生する。
---ドメイン・コントローラ間のレプリケーションとは別である。
---他のドメインの頻繁に利用される頻度が高い属性のみレプリケーションされる。
---従って、シングルドメインの場合は、グローバル・カタログのレプリケーションは発生しない。
-ゾーンおよびゾーン転送とは~
http://msdn.microsoft.com/ja-jp/library/cc781340%28v=ws.10%29.aspx

--異なるドメインのオブジェクトでも、ローカルで一括して検索できる。
--ログオン時の所属グループの確認や、オブジェクト検索に利用される。
-TechNet ライブラリWindows > Windows Server

-グローバル・カタログ・サーバ
--グローバル・カタログは、フォレスト内のグローバル・カタログ・サーバが保持する。
--グローバル・カタログ・サーバは、ドメイン・コントローラの持つ役割の1つ。
--DNS インフラストラクチャの設計を作成する~
http://technet.microsoft.com/ja-jp/library/cc725625%28v=ws.10%29.aspx

**ドメイン・ネットワーク(ワークグループ・ネットワークを拡張) [#pa3026bd]
-ユーザ認証(Kerberos認証)
-ユーザ、コンピュータ情報
-共有フォルダ、プリンタ
---DNS および AD DS~
http://technet.microsoft.com/ja-jp/library/cc772599%28v=ws.10%29.aspx~
Active Directory 統合 DNS ゾーン~
http://technet.microsoft.com/ja-jp/library/cc731204%28v=ws.10%29.aspx

**セキュリティ [#bb37b8e8]
---AD DS を既存の DNS インフラストラクチャに統合する~
http://technet.microsoft.com/ja-jp/library/cc770785%28v=ws.10%29.aspx

***セキュリティ・ポリシー [#n729577f]
ミラーアカウントからADのアカウントに移行することでIDの集中管理が可能
**[[ドメイン サービス (AD DS)]] [#e0336920]
[[こちら>ドメイン サービス (AD DS)]]

-Windowsログオン認証
--Kerberos、NTLM
--シングル・サインオン
--ワンタイムパスワード
--スマートカードログオン
---安全で簡単なログオン
---離席時の画面ロック
**[[ライトウェイト ディレクトリ サービス (AD LDS)]] [#k5356b77]
[[こちら>ライトウェイト ディレクトリ サービス (AD LDS)]]

--ユーザ・グループを使用したアクセス許可の設定
**証明書サービス (AD CS) [#yc9b9520]

-さまざまなセキュリティ対策への取り組み。
**[[フェデレーション サービス (AD FS)]] [#e670ebb3]
[[こちら>フェデレーション サービス (AD FS)]]

--LAN接続認証
**[[Rights Management Services (AD RMS)]] [#k334f778]
[[こちら>Rights Management Services (AD RMS)]]

--WSUS連携
---更新プログラム入手の完全管理
---ネットワーク内のPCに更新プログラムを配布
---GPOと連携
**関係する機能 [#we5c056f]
***移動ユーザプロファイル [#s77327e7]
***分散ファイル システム (DFS) [#va45b9d9]

--[[Rights Management Service>#k334f778]](RMS:情報漏えい対策)
---ドキュメントの暗号化、有効期限設定
---防止データ利用制限、操作ミス漏洩防止(印刷、転送)
*[[Microsoft Azure Active Directory]] [#v24dbd52]

--[[Federation Service>#e670ebb3]](ADFS:インターネット・ユーザとの統合認証)
----
Tags: [[:Active Directory]], [[:認証基盤]], [[:ディレクトリ サービス]]

***グループ・ポリシー [#q3017b58]
ローカル・ポリシーからグループ・ポリシーに移行することで~
ポリシー設定、クライアント環境の集中管理が可能

-[[グループ・ポリシー]]
-[[グループポリシー設定リスト]]

**レプリケーション [#z9654d87]
ディレクトリサービスに登録できる情報を「オブジェクト」と呼び、~
電話番号や住所、所属しているグループなどが格納できる。~
このようなオブジェクトが持つ情報を「属性」または「プロパティ」と呼ぶ。~

-NTドメインのPDCとBDC間の複製はオブジェクト単位で行われているのに対し、~
Active Directoryの各DCではプロパティ単位で複製される。~

-トラフィックの観点からすると、~
● オブジェクト単位よりは~
● プロパティ単位のほうが~
交信するデータ量は少なくなる。

-NTドメインの場合、ユーザ・アカウントは1024bytesであるが、~
Active Directoryでは3600bytesと倍以上に増えている。~
このようにサイズが増えた理由は、オブジェクトごとに~
住所や所属部署などのプロパティがより細かく入力できるようになったためである。

***マルチマスタ・レプリケーション [#k7114eb4]
-ドメイン内に複数存在するDCのうちのいずれかに接続して~
Active Directory情報を更新することができる。

--DCはアカウントが更新されると、5分後に同じドメインのDCにアナウンスメントを行う。

--マルチマスターにおける複製は複数のDC同士がアカウントを情報交換するため、~
アカウントの複製が完了するまでは、まったく同じ情報をもつことはない。

--DCの複製は同一ドメイン内でだいたい15分程度で完了する。

-参考:[ThinkIT] 第4回:レプリケーションの比較 (1-4)~
http://thinkit.co.jp/free/article/0603/10/4/

***サイト、サイトリンク [#z0123839]
-認証トラフィック・複製トラフィックを軽減するため、~
回線の帯域が狭い遠隔地との複製を円滑に行うために、「サイト」という概念も採用されている。

-サイト組織内の物理的なネットワーク接続を示すためのオブジェクトである。
-サイト同士は、「サイトリンク」と呼ぶ仮想のコネクタで接続する。

-具体的には、ディレクトリ・データベース
--複製トラフィックと、
--認証トラフィックを

>最適化(複製間隔を制御したり、複製データを圧縮したりできる)するために導入された。

-制御対象のトラフィック

--認証トラフィック~
ログオン認証時に、同一サイト内のドメイン・コントローラを優先して使用する。

--複製トラフィック~
サイト間でのディレクトリ・データベースを複製するためのトラフィックを

---スケジューリング(複製を行う時間帯を限定)し、~
他のネットワーク・トラフィックへの影響を抑える。~
また、通信料金が安くトラフィックが少ない~
時間帯に複製を行うように設定することもできる。

---圧縮する(限られたネットワーク帯域を有効的に利用する)。

-DCの複製の時間は、
--サイトリンクのデフォルト値の3時間に
--ドメイン内のDC間の複製時間をプラスするので、

>約3時間半程度で複製が完了する。~

-デフォルトの複製間隔
--ドメイン内:15分
--サイトリンク間:3時間

***対象 [#d440807e]
-ディレクトリ・データベース
-DNS(Active Directory統合ゾーン)
-グローバル・カタログ

**操作マスタ(FSMO) [#t57a7e74]
フォレスト、ドメイン内で特定の役割をするDC

以下、FSMOの各役割は、
-フォレスト、ドメインに最初に導入したDCが担当しているが、
-ADの管理ツールを使って、ほかのDCに移すこともできる。

Insider's Computer Dictionary [FSMO] - @IT~
http://www.atmarkit.co.jp/icd/root/95/97784195.html
>>特定の機能や操作については、複数のDCからのアップデートの競合による矛盾などを避けるために、あらかじめ決められた1台のDCだけが処理を担当することになっていて、その他のDCが肩代わりすることはない。この特定の機能(役割)のことを操作マスタ(FSMO)役割と呼び、以下の5つのものがある。

***フォレスト単位 [#h9ef3446]
各フォレストごとに1台必要

-スキーマ マスタ
--ADに格納されているディレクトリ・データベースのスキーマの変更を担当するマスタ。
--ADDBのスキーマはすべてのDCから参照されるが、これを変更できるのはスキーマ マスタだけ。

-ドメイン名前付けマスタ
--フォレストへのドメインの追加や削除を担当するマスタ。

***ドメイン単位 [#a30fbde9]
各ドメインごとに1台必要。

-PDCエミュレータ
--NTドメインのPDCのエミュレーションを担当する。
--ADクライアントを導入していないWindows 9x/NTなどのクライアントに対して~
PDCの役目を果たしたり、ディレクトリの変更情報をBDCに伝達したりする。

-RID(Relative ID)プール マスタ
--SID(各ユーザやグループなどを区別するための、内部的な、ユニークな番号)~
を作るために使われるRID(Relative ID)のプールの作成を担当するマスタ。
--SIDは、ドメインごとに固定した値を持つ部分(ドメインSID)と、~
各ドメイン内でユニークな値を持つ部分(RID)の、2つの部分から構成されている。
--RIDプール マスタは、ドメインのDCが使用するRIDの範囲を管理し重複を防いでいる。

-インフラ ストラクチャ マスタ
--ドメインAのグループに属するドメインBのユーザの情報(名前など)の変更結果を、~
ドメイン間(ドメインA-ドメインB間)を跨いで通知、複製する役割を担当する。

**読み取り専用ドメイン・コントローラ(RODC) [#rdab48a8]
管理者のいない小規模拠点用(2008から)

-セキュリティの脅威に脅かされることが無い。
--オブジェクトの削除ができない。
--特定の資格情報の実をキャッシュする。
---RODCで認証要求を処理できる。~
---DCを盗んで、パスワードを解析するといったことができない。

-一方向のレプリケーション(負荷軽減)
-読み取り専用のDNS(動的更新要求には他のDNSを紹介)

*ライトウェイト ディレクトリ サービス (AD LDS) [#k5356b77]

-ディレクトリ・サービス
--LDAP(Lightweight Directory Access Protocol)

>>RFC2251で定義されているX.500準拠のディレクトリ・サービスにアクセスするためのプロトコルである。Active Directoryでは、ディレクトリ情報の検索や更新の際に使われる。X.500ディレクトリ・サービスで定義されるDAP(Directory Access Protocol)は複雑であったため、DAPをベースにして軽量化したLDAPがディレクトリ・サービス・プロトコルの標準となっている(「軽量」とは、仕組みが簡単で、プロトコルを利用したり、実装したりする手間が少なくて済むということ)。

*証明書サービス (AD CS) [#yc9b9520]

*フェデレーション サービス (AD FS) [#e670ebb3]

*Rights Management Services (AD RMS) [#k334f778]

*関係する機能 [#we5c056f]
**移動ユーザプロファイル [#s77327e7]
**分散ファイル システム (DFS) [#va45b9d9]
トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS